UK Information Commissioner: Online Tool zum Datentransferrisiko. Ein Vorreiter? Wie reagieren die EU Datenschutzbehörden?

von Dr. Axel Spies, veröffentlicht am 22.11.2022
Rechtsgebiete: Wirtschaftsrecht5|1622 Aufrufe

Der U.K. Information Commissioner (ICO) hat ein Online-Tool zur Bewertung des Transferrisikos (TRA) veröffentlicht, um auf der Grundlage früherer Leitlinien eine Bewertung des Transferrisikos durchzuführen.

Das Vereinigte Königreich zeigt damit seine Unterstützung für eine risikobasierte Bewertung. Aber Vorsicht: Die EU-DSGVO Analyse könnte je nach DSB strenger sein, so dass ein Datenexporteur das Online Tool derzeit in der EU nicht verwenden sollte.

Das Tool hilft Organisationen dabei, sicherzustellen, dass es unter den besonderen Umständen der Übermittlung (in die USA) angemessene Schutzmaßnahmen gibt. Es enthält außerdem:

- eine Liste der besonderen Datenkategorien nach der UK GDPR

- eine Liste typischer Kategorien personenbezogener Daten mit einer ersten Risikobewertung

- Beispiele für zusätzliche Schritte und Schutzmaßnahmen, die bei Übermittlungen zu berücksichtigen sind.

Die spezifischen Fragen, die der ICO beantwortet haben möchte, lauten übersetzt:

- Q1: Welches sind die besonderen Umstände der eingeschränkten Übermittlung?

- Q2: Wie hoch ist das Risiko für die Personen, deren personenbezogene Daten Sie übermitteln wollen?

- Q3: Welches ist ein angemessenes und verhältnismäßiges Maß an Untersuchungen angesichts des Gesamtrisikos der personenbezogenen Daten und der Art Ihrer Organisation?

- Q4: Erhöht sich durch die Übermittlung das Risiko einer Menschenrechtsverletzung im Zielland erheblich?

- Q5(a): Sind Sie davon überzeugt, dass sowohl Sie als auch die Personen, um die es bei der Übermittlung geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 gegen den Importeur im Vereinigten Königreich durchzusetzen?

- Q5(b): Wenn Durchsetzungsmaßnahmen außerhalb des Vereinigten Königreichs erforderlich sein könnten: Sind Sie davon überzeugt, dass Sie und die Personen, um die es bei den Informationen geht, in der Lage sein werden, den Übermittlungsmechanismus nach Artikel 46 im Zielland (oder anderswo) durchzusetzen?

- Q6: Gilt eine der Ausnahmen von den eingeschränkten Übermittlungsvorschriften für "Daten mit hohem Risiko"?

Das Ergebnis ist i.E. dasselbe wie das der EU-Datenschutzbehörden, die "Schrems 2" bisher ausgelegt haben: Wenn der Datenexporteur mit Hilfe des TRA-Tools zu dem Ergebnis kommt, dass das Übermittlungsverfahren keine angemessenen Garantien und keine wirksamen und durchsetzbaren Rechte der betroffenen Personen für alle personenbezogenen Daten bietet, darf er die Übermittlung nicht durchführen.

Was meinen Sie, welchen Einfluss wir das neue Tool des ICO auf die Debatte in der EU haben?  Werden die DSB in der EU nachziehen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Interessant. Eine genauere Analyse des ausländischen Rechts der Überwachung scheinen die Briten nicht mehr zu verlangen. Es kommt eher auf die übermittelten Daten an. Aber ob die Kategorien so stimmen? CCTV-Daten= moderate. "Habits" = low. Wirklich? 

0

Ein -wie ich finde- realistischer und praktikabler Ansatz für Zielsetzung der Artt. 44 ff DS-GVO.

Der Begriff TranferRiskAssessment (TRA) passt schon besser als TransferImpactAssessment (TIA) und gibt den Schutzzweck der Normen besser wieder.

Interessant ist auch, dass das Grundrisiko neben dem Schutz der Privatsphäre auch „andere“ Menschenrechte einbezieht: „people’s privacy and other human rights“. Damit sind dann sowohl Art. 8, als auch Art. 9 der GRCh umfasst. Im Fokus der Prüfung stehen die Risiken für die Betroffenen und nicht die Rechtsordnung des Empfängerstaates (siehe Frage 3).

Die Intensität der Untersuchung des Risikos wird unter der Frage 3 Table 4 dargestellt. Es gibt 3 Untersuchungslevel, die abhängig vom Schadensrisiko („harm risk“) Anwendung finden. Prüfungskriterien sind hierbei die Human Rights and Democracy Reports und auch der Amnesty International Report. Das sind konkreter Anhaltspunkte als die „Gepflogenheiten“ in Klausel 14 b) iii) Fn. 12 der SCC.

Vielen Dank für den wichtigen Beitrag. In der Tat: Der Ansatz der ICO basiert auf der Risikoeinschätzung für das Individuum und seiner Menschenrechte. Das wirft die Frage auf, ob der DSGVO-Datenschutz für bestimmte Datenkategorien abgestuft werden kann oder muss (so schon angelegt im Art. 9). Das Thema hatte ich in meinem ZD- Editorial 3/2020 schon einmal angesprochen: "Sind manche Datensätze schützenswerter als andere?" Zitat: "Eine Abstufung, nach der manche personenbezogenen Datensätze besonders schützenswert sind (oder zumindest anders zu behandeln sind), ist in den USA gängige Praxis..." 

Zum Thema Proportionalität des Datenschutzes gibt es von 2020 Guidelines des EDPS:https://iapp.org/resources/article/edps-guidelines-on-assessing-the-proportionality-of-measures-that-limit-the-fundamental-rights-to-privacy-and-to-the-protection-of-personal-data/ 

Aber in D gibt es das Volkszählungsurteil des BVerfG, wonach kein Datum "unwichtig" ist. 

0

Kommentar hinzufügen